【Teams】外部組織とのフェデレーションを制限するドメイン許可リスト設定手順

Microsoft Teamsで外部組織との連携は便利ですが、セキュリティの観点から特定の組織とのみ連携を許可したい場合があります。意図しない外部ユーザーとのアクセスを防ぐため、ドメイン許可リストの設定が重要です。

この記事では、Teamsで外部組織とのフェデレーションを制限し、許可したドメインのみと連携できるように設定する手順を解説します。組織のセキュリティを強化し、安全なコミュニケーション環境を構築しましょう。

設定を行うことで、許可されていないドメインからのユーザーはTeams会議への参加やチャットができなくなります。これにより、情報漏洩のリスクを低減できます。

Teams外部アクセスにおけるフェデレーションの仕組み

Microsoft Teamsでは、組織外のユーザーとのコミュニケーションを可能にする「外部アクセス」機能が提供されています。この機能は、主に「フェデレーション」という仕組みによって実現されています。

フェデレーションとは、異なる組織のTeams環境間で信頼関係を構築し、互いのユーザーが相手の組織のユーザーとチャットや会議を行えるようにする技術です。これにより、取引先やパートナー企業との連携がスムーズになります。

しかし、この外部アクセスを無制限に許可していると、セキュリティリスクが生じる可能性があります。そのため、組織のポリシーに合わせて、許可する外部組織のドメインを限定する「ドメイン許可リスト」機能が用意されています。

ドメイン許可リスト設定の前提条件と準備

ドメイン許可リストを設定するには、いくつかの前提条件と準備が必要です。これらの条件を満たしていないと、設定が正しく適用されない可能性があります。

管理者権限の確認

この設定は、Microsoft Teamsの全体管理者またはTeamsサービス管理者権限を持つユーザーのみが実行できます。ご自身の権限を確認し、必要であれば権限を持つユーザーに依頼してください。管理者は、Azure Active Directory(Azure AD)のグローバル管理者権限も必要となる場合があります。

組織全体の外部アクセス設定

ドメイン許可リストは、組織全体の外部アクセス機能が有効になっていることが前提です。外部アクセス機能が無効になっている場合、ドメイン許可リストを設定しても外部ユーザーとの連携はできません。まず、組織全体の外部アクセス設定を確認・有効化してください。

許可するドメインのリストアップ

連携を許可したい外部組織のドメイン名を事前にリストアップしておきましょう。正確なドメイン名がわからない場合は、連携する外部組織の担当者に確認してください。例として、「example.com」「partner.co.jp」といった形式のドメイン名です。

Teams管理センターでのドメイン許可リスト設定手順

ここからは、実際にMicrosoft Teams管理センターでドメイン許可リストを設定する手順を説明します。画面の指示に従って、慎重に設定を進めてください。

1. Teams管理センターへのサインイン
   Webブラウザを開き、Microsoft 365管理センター (admin.microsoft.com) にアクセスします。Teams管理センター (admin.teams.microsoft.com) に移動するには、左側のナビゲーションメニューから「すべてのアプリを表示」を選択し、「Teams」を探してクリックします。または、直接Teams管理センターのURLを入力してサインインします。
2. 外部アクセス設定への移動
   Teams管理センターの左側ナビゲーションペインで、「ユーザー」を展開し、「外部アクセス」を選択します。
3. 外部アクセス設定の有効化
   「外部アクセス」画面が表示されたら、まず「外部アクセス」のトグルスイッチがオンになっていることを確認します。もしオフになっている場合は、オンに切り替えます。これにより、組織外のユーザーとのコミュニケーションが全体的に許可される状態になります。
4. ドメインの制限方法の選択
   「外部アクセス」設定画面の下部にある「外部アクセス」セクションで、ドメインの制限方法を選択します。「外部アクセス」のスイッチの下にある「外部アクセスを許可するドメイン」という項目で、ドメインを制限する方法を選択できます。
5. 「許可するドメインのみ」の選択
   ドメイン許可リストを設定するには、ドロップダウンメニューから「許可するドメインのみ」を選択します。これにより、指定したドメイン以外の外部組織とのフェデレーションがブロックされます。
6. ドメイン許可リストへの追加
   「許可するドメインのみ」を選択すると、その下に「許可するドメイン」というリストが表示されます。ここで、「ドメインの追加」ボタンをクリックします。
7. ドメイン名の入力と追加
   表示される入力フィールドに、連携を許可したい外部組織のドメイン名を入力します。例えば、「example.com」と入力します。入力後、「完了」または「追加」ボタンをクリックしてリストに追加します。必要に応じて、この手順を繰り返し、許可したいすべてのドメインを追加してください。
8. 設定の保存
   すべてのドメインを追加し終えたら、画面下部にある「保存」ボタンをクリックします。設定が反映されるまでに、数分から数時間かかる場合があります。

新しいTeams(v2)と従来Teamsでの設定の違い

Microsoft Teamsは、新しいTeams(v2)への移行が進んでいます。新しいTeams(v2)と従来Teamsでは、一部のUIや機能の配置が変更されていますが、外部アクセスに関するドメイン許可リストの設定手順は、Teams管理センターで行われるため、基本的な流れは大きく変わりません。

新しいTeams(v2)では、よりモダンなインターフェースが採用されており、設定項目へのアクセス方法が若干異なる場合があります。しかし、Teams管理センターのURL (admin.teams.microsoft.com) は共通して利用できます。

設定項目「外部アクセス」や「ドメインの制限」といった名称も同様に存在するため、迷うことなく設定を進められるはずです。もしUIの違いに戸惑った場合は、Teams管理センターのヘルプドキュメントを参照すると良いでしょう。

設定後の確認方法と注意点

ドメイン許可リストの設定が完了したら、正しく機能しているかを確認することが重要です。また、設定適用後の注意点も理解しておきましょう。

許可したドメインからのテスト

設定したドメイン許可リストに含まれる外部組織のユーザーに、Teams会議への招待やチャットの開始を試してもらってください。問題なく連携できれば、設定は成功です。相手のユーザーがTeams会議に参加できるか、チャットメッセージを送受信できるかを確認します。

許可していないドメインからのテスト

次に、許可リストに含まれていないドメインの外部ユーザーに、同様の操作を試してもらいます。この場合、Teams会議への参加やチャットの開始がブロックされるはずです。エラーメッセージが表示されるか、操作ができないことを確認してください。

設定反映までの時間差

Teamsの外部アクセス設定は、保存後すぐに反映されるとは限りません。設定が組織全体に適用されるまで、数分から数時間かかることがあります。設定直後にテストしても期待通りの結果が得られない場合は、しばらく時間をおいてから再度確認してください。

ドメイン名の正確性

ドメイン許可リストにドメイン名を追加する際は、スペルミスがないか、正確なドメイン名を入力しているかを確認してください。ワイルドカード(例: *.example.com)は一般的にサポートされていません。完全なドメイン名を入力する必要があります。

組織ポリシーとの整合性

ドメイン許可リストの設定は、組織のセキュリティポリシーやコンプライアンス要件と整合している必要があります。設定変更を行う前に、関係部署(情報セキュリティ部門など)と連携し、承認を得ることが推奨されます。組織によっては、Azure ADのテナント設定で外部共有に関する追加の制限がされている場合もあります。

外部ユーザーのTeams会議参加方法

ドメイン許可リストで制限されている場合でも、外部ユーザーはゲストとしてTeams会議に参加できる場合があります。この設定は、会議の作成者が「ゲストアクセス」を許可している場合に限られます。ドメイン許可リストは、主にフェデレーション(直接的なチャットや連絡先リストへの追加など)を制限する機能です。会議参加の挙動は、外部アクセス全体の設定や会議ごとの設定にも影響されます。

トラブルシューティング: ドメイン許可リストが機能しない場合

ドメイン許可リストを設定しても、意図した通りに機能しない場合があります。ここでは、よくある問題とその対処法を解説します。

設定が反映されない

原因: 設定変更が組織全体に伝播するのに時間がかかっている。

対処法: 数時間待ってから再度確認してください。それでも反映されない場合は、Teams管理センターで設定を一度無効にし、再度有効にして保存し直すことを試みてください。または、ブラウザのキャッシュをクリアしてアクセスし直すことも有効です。

許可していないドメインのユーザーが参加できる

原因1: 外部アクセス機能全体が「すべての外部ドメイン」に設定されている。

対処法1: Teams管理センターの「外部アクセス」設定で、「許可するドメインのみ」が正しく選択されていることを再度確認してください。また、ドメイン許可リストに、意図せず許可してしまうようなドメインが含まれていないか確認します。

原因2: ゲストアクセスとして会議に参加している。

対処法2: ドメイン許可リストはフェデレーション(直接的なユーザー間通信)を主に対象とします。会議へのゲスト参加は、会議の主催者や組織全体のゲストアクセス設定に依存します。会議参加を制限したい場合は、Teams会議ポリシーでゲストアクセスを無効にするか、会議の招待時に特定のユーザーのみを招待するなどの対策が必要です。

許可したドメインのユーザーが参加できない

原因1: ドメイン名の入力ミス、またはワイルドカードの使用。

対処法1: ドメイン許可リストに追加したドメイン名が正確であることを確認してください。大文字・小文字は区別されませんが、スペルミスがないか、完全なドメイン名(例: example.com)が入力されているかを確認します。ワイルドカードは使用できません。

原因2: 外部組織側のTeams設定で、貴社ドメインとのフェデレーションがブロックされている。

対処法2: 連携したい外部組織のTeams管理者に連絡し、貴社ドメインとのフェデレーションが許可されているか確認してもらってください。外部組織側で「ブロックするドメイン」リストに貴社ドメインが含まれている可能性もあります。

原因3: Teamsのテナント全体で「外部アクセス」機能自体が無効になっている。

対処法3: Teams管理センターの「外部アクセス」設定で、グローバル設定が「オン」になっていることを確認してください。もし「オフ」になっている場合は、オンに切り替える必要があります。

新しいOutlookとの連携における注意点

Microsoft Outlookも新しいOutlookへの移行が進んでおり、Teamsとの連携機能が強化されています。ドメイン許可リストの設定は、Teamsの外部アクセスに直接影響しますが、OutlookからTeams会議をスケジュールしたり、Teamsチャットにアクセスしたりする際の挙動にも間接的に関連する場合があります。

例えば、新しいOutlookでTeams会議をスケジュールする際、招待する参加者のドメインが許可リスト外である場合、会議への参加が制限される可能性があります。ただし、OutlookからTeams会議へ招待されたゲストユーザーは、Teamsの会議参加ポリシーに基づき、ドメイン許可リストとは別に会議に参加できる場合があります。

重要なのは、Teamsの外部アクセス設定が、Teamsアプリケーション内での直接的なコミュニケーション(チャット、通話、会議参加)の許可範囲を決定するということです。Outlookはあくまで会議のスケジュールや連絡手段として利用されるため、Teamsの設定が優先されることを理解しておきましょう。

Mac版・モバイル版Teamsとの関連性

Teams管理センターで行われるドメイン許可リストの設定は、組織全体のポリシーとして適用されます。そのため、ユーザーがTeamsを利用するデバイス(Windows PC、Mac、スマートフォン、タブレットなど)やクライアントアプリケーション(デスクトップ版、Web版、モバイル版)の種類に関わらず、同じように適用されます。

Mac版Teamsやモバイル版Teams(iOS、Android)のユーザーであっても、組織のドメイン許可リスト設定に従い、外部組織とのフェデレーションが制限されます。許可されていないドメインのユーザーとは、チャットや連絡先リストへの追加などができなくなります。

ただし、Teams会議へのゲスト参加については、会議の作成者やポリシー設定に依存するため、クライアントの種類による影響は限定的です。いずれのデバイスからでも、組織のルールに沿った外部連携が行われることになります。

まとめ

この記事では、Microsoft Teamsで外部組織とのフェデレーションを制限し、ドメイン許可リストを設定する手順を解説しました。Teams管理センターで「外部アクセス」設定を変更し、「許可するドメインのみ」を選択して、許可したいドメインを追加・保存することで、セキュリティを強化できます。

設定後は、許可したドメインとそうでないドメインからのテストを行い、正しく機能しているかを確認することが重要です。これにより、意図しない外部ユーザーとの連携を防ぎ、安全なコミュニケーション環境を維持できます。

今後は、定期的に許可リストの内容を見直し、必要に応じて更新していくことをお勧めします。また、組織のセキュリティポリシー変更に合わせて、設定を調整してください。

👥

Teams/Outlookトラブル完全解決データベース サインイン、接続エラー、メール送受信の不具合など、特有のトラブル解決策を網羅。困った時の逆引きに活用してください。